前回(YAMAHAルーターRTX810と戯れるに至るいきさつ)の続きである。

ソフトウェアによるSSL-VPNから、ルータによるVPNへの乗り換えを決意した私が最初に悩んだのは、どのVPNを使うのが私にとって一番幸せか、という問題である。

VPNは、つなぎ方の観点から別けると、大きく分けて2つある。固定された拠点間をVPNでつなぐLAN間接続VPNと、自由に移動する端末を、VPNを介して拠点のLANに参加させるリモートアクセスVPNである。私の目的は、拠点間を繋ぐに非ず、リモートアクセスVPNである。

では、リモートアクセスVPNを行うに当たって、適切なVPNプロトコルはどれか。

第一候補 PPTP (Point-to-Point Tunneling Protocol)

 最初に思い当るのがPPTPである。PPTPは、OSI参照モデル(リンク先:Wikipedia)で言う所のLayer2のプロトコルで幅広いプラットフォームで対応しており、VPN対応を謳うルータのほとんどで使用できることから、一般的普及しているようだと推察される。ご機嫌なプロトコルである様に思われたが、このPPTP、なんとプロトコルにGRE?(Generic Routing Encapsulation)を使用しているために、NAT (Network Address Translation)やNAPT (Network Address Port Translation)を越えられないのだ。

 最近ではAUの3G回線が、各端末にグローバルIPを付与せずに、ローカルIPを割り振る方式に変わったときに、PPTPを使用して接続していたユーザが接続できなくて大変こまっちゃうと言う出来事があった。その後、AU側の対応で今はPPTPが問題なく使用できるようになっている。

 この様にPPTP接続を試みる端末とルータの間に、NATやNAPTがあると、クライアントサイドの対応では接続できない問題を回避できない場合がある。NATやNAPTを行っているネットワーク機器で対応してもらえば解決可能だが、必ずしも担当者に依頼できるとは限らない。依頼できてもそれが通る保証はどこにもない。拠点間接続なら、経路がほぼ固定されているので、その間にあるネットワークの担当者と交渉し対応を依頼するのは意味のある事だろう。拠点LAN間接続VPNとしてはPPTPはとても有効でお手軽なVPNだと言える。

 今回の目的はリモートアクセスVPNなので、VPNクライアントの接続環境は色々変わることを想定している。3G回線であったり、Wimax回線であったり、公衆無線LANであるかもしれない。自分の手の届かない所にある問題は一つでも少ない方が良いのだ。

第二候補 IPsec

 IPsecは、Layer3のプロトコルで、IP (Ingernet Protocol)を暗号化するための仕組みである。データの暗号化と認証を行うトランスポートモードと、トンネルも作ってくれちゃうトンネルモードがある。トンネルモードはVPNとして使用できるため、今回の検討対象と相成った。使用できる認証機能、暗号機能が多岐にわたり、設定には専門的知識が要求されるものの、その分柔軟であるともいえる。
このプロトコルも、リモートアクセスVPNとして使用するのは一般的ではない様で、AndroidではIPsecのトンネルモードは、標準でサポートされていない様だ。iPhoneでおなじみiOSでは、IPsec単独のVPNをサポートしているが、私はiPhone、iPadの類は所有していない。また、IPsecではIP (Ingernet Protocol)以外のパケットを扱う事は出来ない。Layer3の悲しき性である。しかしIPv6からは専用の拡張ヘッダが用意されるなど今よりもっと身近になっていくのだろう。

第三候補 L2TP/IPsec (Layer 2 Tunneling Protocol over IPsec)

 L2TPはその名の通り、Layer2プロトコルである。同じくLayer2プロトコルであるところのL2F (Layer 2 Forwarding)とPPTP (Point-to-Point Tunneling Protocol)を基にして作られたプロトコルで、L2TPは仮想トンネルのみを作り、それ自体に情報の改竄や盗聴を防ぐ仕組みは持っていない。そのため、IPsecのトランスポートモードを併用して、認証機能と暗号化機能を追加する、L2TP/IPsecとして使用することになる。

 L2TP/IPsecでは、IPsecのNATトラバーサルを使用できるため、通常使用するport50(ESP)、port500/udp(IKE)に加えて、port4500/udpが解放されていれば、NAT越えが出来るのだ。これで通信キャリアがローカルアドレスしかくれなくてもへっちゃらだ。また、クライアントの対応プラットフォームも多い。Windwosにも標準でクライアントがあるし(ルータ選定時点では知らなかったがRTX810はWindowsのL2TP/IPsecクライアントからの接続をサポートしていないと言う衝撃の事実を後に知る事に成る。)、Android、iOSでも使用が可能だ。スマートフォンからのリモートアクセスVPN接続では、L2PT/IPsecがどうやらデファクトスタンダード的な位置を占めつつあるようだが、コンシューマー向けのルータとして対応している製品がまだまだ少ないのがネックである。

他にもいろいろVPNはあるのだが、対応製品の数を考えると現実的な選択肢は以上の3つに成りそうだ。

 まとめると、PPTPは、対応製品が多いが、NAT越え出来ないのがやだ。IPsecは、NAT越え出来るが、Androidが単独での使用に対応していないのと、IPパケット以外使えないのがやだ。L2TP/IPsecは、NAT越えも出来るし、ルータ側はまだ少ないが、クライアント側の対応製品も多いし、素敵である。

 よって、L2TP/IPsecに対応しているルータを探す事に決めた。こうしてルータを探した結果YAMAHA RTX810に決定する事に成るのだが、今回も長くなってしまったのでそのいきさつは次回に譲ることとする。次回こそ、ちゃんといきさつを述べようと思う。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


*


*

投げ銭はこちらへ
bitcoin :
1FtNVmXFAkwKPPz7MTcbNXzRnKJaYdMyKf

bitcoin :
1AFU37YroGt8ohmFz8nG1N2ockL56Z4hfQ

2017年11月
« 10月    
 12345
6789101112
13141516171819
20212223242526
27282930  
カテゴリー